Как веб-приложение защищено от уязвимостей?

Разработка и администрирование веб-приложения ведется с учетом рекомендаций по безопасности от Microsoft и OWASP для предотвращения самых популярных и критичных угроз типа SQL-injection, XSS и т. п. Производится регулярное обновление всех операционных систем и серверного программного обеспечения. Для защиты от сетевых атак используются средства межсетевого экранирования и обнаружения вторжений. Для контроля защиты система периодически проходит проверку на наличие уязвимостей с помощью сканеров безопасности. Проводятся внутренние и внешние аудиты информационной безопасности.

Другие вопросы рубрики «Безопасность электронного документооборота»

  • Возможен ли несанкционированный доступ к данным в системе Диадок?

    Разработчиком приложено немало усилий, чтобы свести возможность несанкционированного доступа в Диадок к минимуму:

    • в компании СКБ Контур принят ряд нормативных документов, касающихся защиты информации, за соблюдение установленных норм сотрудники несут ответственность;
    • доступ лиц к серверному оборудованию строго ограничен, за ним ведется круглосуточное видеонаблюдение;
    • разработка и эксплуатация системы ведется с учетом общепринятых в данной профессиональной среде подходов к обеспечению информационной безопасности: использование межсетевых экранов, парольной политики, регламентов администрирования и т. д.
  • Серверы Диадока находятся в дата-центре вместе с серверами других компаний. Возможен ли несанкционированный доступ к серверам недобросовестными сотрудниками других компаний?

    Серверы находятся в стойке, которая запирается на замок. Порядок доступа в помещения и к стойкам строго регламентирован внутренними нормативными документами дата-центра и его договорами с компаниями. При допуске в дата-центр сотрудников конкретной компании служба безопасности понимает, к каким стойкам они имеют доступ. Кроме того, их сопровождают сотрудники дата-центра, а охрана внимательно следит за тем, чтобы допущенные лица работают только со своим оборудованием. Также для контроля ведется видеонаблюдение.

  • Используются ли межсетевые экраны для входящих и исходящих соединений?

    Да, и для входящих и для исходящих соединений.

  • Есть ли у Диадока защита от DDoS атаки?

    Да, есть. Защиту обеспечивает сторонний сервис, предоставляемый интернет-провайдером и подключается в случае начала атаки. При этом внешний адрес diadoc.kontur.ru поменяется, поэтому на клиентском месте может потребоваться смена настроек межсетевого экрана.

  • Какие IP адреса используются сервисом Диадок, чтобы настроить межсетевой экран для доступа к сервису?

    СКБ Контур использует собственный блок IP-адресов: 46.17.200.0/21 (это можно проверить по RIPE базе). Рекомендуем открыть весь блок IP-адресов, т. к. в редких случаях при изменении сетевой инфраструктуры у сервиса может поменяться IP-адрес на другой из указанного блока.

  • Как часто в Диадоке делается резервное копирование?

    В Диадоке используется отказоустойчивая система хранения данных, которая обеспечивает троекратное резервирование и не позволяет удалить или изменить однажды записанные данные. Поэтому, как правило, мы не делаем регулярного резервного копирования. Оно производится только в случае технических работ, требующих перераспределения уже имеющихся данных, расширения системы хранения или любых других работ, в связи с которыми возникает риск потери данных.

  • Какие программные компоненты сторонних компаний используются системой Диадок?

    Это программное обеспечение компании Microsoft (операционные системы, серверное ПО, платформа разработки) и Крипто-Про (средства для работы с электронной подписью), плюс некоторое свободное программное обеспечение.

  • Используются ли услуги сторонних компаний (аутсорсинг) для разработки или поддержки инфраструктуры системы Диадок?

    Нет, кроме услуг дата-центра, разработка и поддержка системы ведется только компанией СКБ Контур.

  • Проводится ли в Диадоке аудит информационной безопасности?

    Компания СКБ Контур как оператор электронного документооборота, аккредитованный удостоверяющий центр, а также лицензиат ФСБ, ФСТЭК, РКН периодически подвергается проверкам надзорных органов на предмет информационной безопасности. Отдел информационной безопасности компании осуществляет внутренний контроль соблюдения установленного порядка и участвует в проведении внутренних аудитов безопасности продуктов компании, в том числе Диадока. Кроме того, ежегодно независимую оценку информационной безопасности системы проводит сторонняя организация. Так, в сентябре 2014 компания «Информзащита» по итогам проведенного аудита информационной безопасности (в том числе и тестирования сервиса на проникновение) оценила степень защищенности серверов Диадока как высокую.

  • Какова ответственность Диадока, если конфиденциальная информация станет доступна третьим лицам, например, в случае взлома системы?

    По договору мы обязуемся обеспечивать конфиденциальность информации (то есть, не распространять данные самим и принимать меры по предотвращению несанкционированного доступа к ним). В случае взлома системы ответственность возлагается на лица, осуществившие взлом. Мы, в свою очередь, готовы оказать всяческое содействие в расследовании подобного инцидента и при этом, в соответствии с договором, компенсировать убытки, которые произошли по нашей вине.

  • Сертифицирована/аттестована ли система Диадок на обработку персональных данных?

    Сертификации/аттестации информационных систем на обработку персональных данных законодательством не предусмотрено: сертифицируются средства защиты информации, с помощью которых обеспечивается безопасность персональных данных в информационных системах персональных данных (ИСПДн).

    Для обеспечения безопасности данных в Диадоке используются сертифицированные средства защиты информации. В частности, межсетевые экраны и средства обнаружения вторжений сертифицированы в соответствии с требованиями руководящих документов ФСТЭК (включая контроль отсутствия недекларированных возможностей), СКЗИ Крипто-Про сертифицированы ФСБ по классам КС1/КС2 для средств электронной подписи и шифрования, СКЗИ ViPNet сертифицированы ФСБ как средство построения виртуальных частных сетей (VPN). Все указанные средства защиты предусматривают их использование для обеспечения безопасности персональных данных в ИСПДн до высшего класса К1 включительно. Работы по выбору средств защиты, их установке и настройке осуществляются квалифицированными специалистами компании, о чем свидетельствуют имеющиеся лицензии ФСТЭК и ФСБ.

    По желанию клиента для дополнительной защиты он может использовать сертифицированные средства хранения ключей электронной подписи (например, РуТокен).

  • Какой протокол используется для организации защищенного канала?

    Прежде всего, используются протоколы SSL/TLS, которые являются промышленным стандартом для безопасности веб-приложений в Интернет. Можно предусмотреть по договору подключение с использованием технологии VPN (например, OpenVPN или СКЗИ ViPNet). Таким образом, организовать защищенный канал можно как с использованием международных стандартов шифрования, так и российских стандартизованных алгоритмов по ГОСТ.

  • Какие сертификаты подходят для работы в Диадоке?

    Для работы в системе Диадок можно использовать квалифицированные сертификаты электронной подписи, выданные любым аккредитованным в Минкомсвязи удостоверяющим центром, работающим на основе программно-аппаратного комплекса «Крипто Про УЦ». При этом большинство сертификатов для Диадока выдаются собственным Удостоверяющим центром компании СКБ Контур (крупнейшим коммерческим центром в стране). Он имеет все необходимые лицензии для работы в области защиты информации и аттестат соответствия классу защищенности 1Г для автоматизированных систем.

  • Можно ли в Диадоке обрабатывать персональные данные?

    Да, можно. Компания СКБ Контур является зарегистрированным в реестре Роскомнадзора оператором персональных данных. Обработка осуществляется в соответствии с законодательством в области персональных данных и договорами с клиентами. Все серверы системы Диадок находятся на территории Российской Федерации, трансграничная передача персональных данных не осуществляется, принимаются необходимые правовые, организационные и технические меры по обеспечению безопасности информации, в том числе персональных данных.